• 發布單位:TWCERT/CC
• 更新日期:2020-05-26
• 點閱次數:494

資安廠商 Proofpoint 發表新聞稿，指出他們偵測到由駭侵組織 TA505 發動的新型態攻擊事件，使用新型態惡意軟體 ServHelper 和 FlawedGrace。

Proofpoint 指出，ServHelper 和 FlawedGrace 分別為全新的惡意軟體。前者有兩種變體，分別用在去年11月的兩波 Email 攻擊事件中；以其中一波為例，ServHelper 在感染後會在宿主電腦建立反向 SSH 連結通道，讓駭侵者能夠透過 RDP 遠端控制受害電腦。

Proofpoint 的觀察也發現，在某些 ServHelper 的惡意軟體下載攻擊中，也出現下載另一支惡意軟體 FlawedGrace 的指令碼；根據分析，FlawedGrace 屬於遠端存取木馬，會以複雜的加密過程儲存其設定檔。

Proofpoint 指出，TA505 最近主要的攻擊目標鎖定在金融機構。

參考連結：

https://www.proofpoint.com/us/threat-insight/post/servhelper-and-flawedgrace-new-malware-introduced-ta505
https://www.bleepingcomputer.com/news/security/ta505-group-adopts-new-servhelper-backdoor-and-flawedgrace-rat/